レートベースのルールごとにブロックされている IP アドレスの一覧表示

CLI、API、または任意の SDK を使用して、レートベースのルールによって現在ブロックされている IP アドレスのリストにアクセスできます。このトピックでは、CLI および API を使用したアクセスについて説明します。現時点では、コンソールにはこの機能はありません。

AWS WAF API の場合、コマンドは GetRateBasedStatementManagedKeys です。

AWS WAF CLI の場合、コマンドは get-rate-based-statement-managed-keys です。

単一のレートベースのルールインスタンスについてブロックできる IP アドレスの最大数は 10,000 です。10,000 を超えるアドレスがレート制限を超えた場合、AWS WAF は、レートが最も高いアドレスをブロックします。

Amazon CloudFront ディストリビューションのウェブ ACL で使用されているレートベースのルールのブロックされている IP アドレスのリストを取得する構文を次に示します。

aws wafv2 get-rate-based-statement-managed-keys --scope=CLOUDFRONT --region=us-east-1 --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-name=RuleName

次の内容では、地域アプリケーション、Amazon API Gateway REST API、Application Load Balancer、AWS AppSync GraphQL API、Amazon Cognito ユーザープールの構文を示します。

aws wafv2 get-rate-based-statement-managed-keys --scope=REGIONAL --region=region --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-name=RuleName

AWS WAF は、ウェブリクエストをモニタリングし、ウェブ ACL、オプションのルールグループ、およびレートベースのルールの一意の組み合わせごとにキーを個別に管理します。例えば、ルールグループ内でレートベースのルールを定義してから、ウェブ ACL でルールグループを使用すると、AWS WAF はウェブリクエストをモニタリングし、そのウェブ ACL、ルールグループ参照ステートメント、およびレートベースのルールインスタンスのキーを管理できます。2 つ目のウェブ ACL で同じルールグループを使用する場合、AWS WAF はウェブリクエストをモニタリングし、最初の使用とは完全に独立して、この 2 つ目の使用のためにキーを管理します。

ルールグループ内で定義したレートベースのルールの場合は、ルールグループ内のウェブ ACL 名とレートベースのルール名に加えて、リクエストでルールグループ参照ステートメントの名前を指定する必要があります。レートベースのルールがルールグループ内で定義され、ウェブ ACL でルールグループが使用されるリージョンレベルのアプリケーションの構文を次に示します。

aws wafv2 get-rate-based-statement-managed-keys --scope=REGIONAL --region=region --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-group-rule-name=RuleGroupRuleName --rule-name=RuleName